Faça sua consulta usar parâmetros. Muito menos chance de injeção:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

crédito (e mais informações) aqui:Como usar variáveis ​​na instrução SQL em Python?

Além disso, Dan Bracuk está correto - certifique-se de validar seus parâmetros antes de executar o SQL, se ainda não estiver